Содержание
Большинство из нас знает Heartbleed
как ошибка, которая затронула веб-сайты и веб-серверы, но Android 4.1.1 также использует уязвимую версию OpenSSL. Другими словами, некоторые Android-смартфоны и планшеты уязвимы для атак Heartbleed.
Каковы риски?
Heartbleed был использован для атаки на различные веб-серверы
, Короче говоря, серверы, на которых работает уязвимая версия OpenSSL, имеют ошибку в шифровании, которую можно использовать. Посылая специально созданные пакеты, злоумышленники могут заставить веб-сервер отвечать частями своей рабочей памяти. Эта рабочая память может содержать конфиденциальные пароли, закрытые ключи шифрования и другие важные данные.
Конечно, ваше устройство Android не работает как веб-сервер. Проблема в том, что недостаток может работать и в обратном порядке, если клиент — в данном случае Android — работает с уязвимым программным обеспечением OpenSSL. Другими словами, когда вы подключаетесь к вредоносному или скомпрометированному веб-сайту со своего устройства Android 4.1.1, веб-сайт может отправлять специально созданные пакеты и заставлять ваш телефон или планшет Android отвечать частями его рабочей памяти. Эта память может содержать конфиденциальные данные — например, она может выдавать данные, относящиеся к приложению для онлайн-банкинга, или номер вашей кредитной карты из приложения для онлайн-покупок, сохраненного в памяти. Он может выдавать пароли, личные сообщения и все, что может храниться в памяти вашего Android.
Если вы используете уязвимое устройство, веб-сайты, к которым вы подключаетесь через браузер и другие приложения, могут использовать недостаток Heartbleed для захвата содержимого памяти вашего устройства.
Сколько устройств уязвимо?
Google обнародовал эту информацию в своем блоге Heartbleed:
«Все версии Android защищены от CVE-2014-0160 (за ограниченным исключением Android 4.1.1; информация о исправлениях для Android 4.1.1 распространяется среди партнеров Android)».
Хорошей новостью является то, что ваше устройство Android, вероятно, в порядке. Плохая новость заключается в том, что панель инструментов разработчика Google показывает, что целых 33,5% устройств в активном использовании используют версию 4.1.x, также известную как Jelly Bean. Это включает в себя устройства под управлением других версий Android 4.1
поэтому мы не знаем точно, сколько устройств на самом деле работает под управлением Android 4.1.1.
Проверьте, является ли ваше устройство уязвимым
Если вы не уверены, какую версию Android используют ваши устройства, вам нужно сначала проверить. Откройте приложение «Настройки», прокрутите вниз до нижней части экрана и нажмите «О телефоне» или «О планшете». На этом экране вы увидите номер версии, отображаемый под версией Android.
Если вы видите что-то, кроме 4.1.1, у вас все в порядке. Если вы видите 4.1.1, у вас может быть проблема.
Чтобы дважды проверить, действительно ли вы уязвимы, вы можете установить приложение Lookout Heartbleed Security Scanner. Это приложение не просто проверяет установленную версию Android. Вместо этого он проверяет, является ли версия OpenSSL на вашем устройстве уязвимой для Heartbleed. Он также проверяет, действительно ли устройство уязвимо — если OpenSSL был создан без поддержки пульса на вашем устройстве, вы можете быть в безопасности.
Здесь мы используем Nexus 4 с Android 4.4.2, а Heartbleed Detector говорит, что OpenSSL уязвим. Тем не менее, функция пульса отключена в этой версии Android, поэтому мы в порядке. Несмотря на потенциально опасное сообщение, нам не нужно беспокоиться вообще.
Обновите ваше устройство
Настоящее решение для уязвимых устройств — это обновление. Как заявили в Google, они пытаются помочь производителям устройств Android и операторам сотовой связи исправлять свои устройства. Тем не менее, мы все знаем, что ситуация с обновлением Android может быть беспорядочной. Производители могут обновлять множество различных устройств, поэтому они, возможно, еще не выпустили исправление — или они могут никогда не выпустить исправление, если устройство устарело. Даже если производитель выпускает патч, сотовые операторы должны будут развернуть его и могут затянуть ноги или просто никогда не выпустить патч.
Если ваше устройство уязвимо, попробуйте обновить его до последней доступной версии Android для вашего устройства, используя встроенную функцию обновления. Это будет варьироваться от устройства к устройству и от носителя к носителю.
Если вы не можете обновить
Если ваше оборудование Android уязвимо для Heartbleed и нет доступных исправлений, надеюсь, вы скоро их получите. Чтобы быть в безопасности, вы должны избегать хранения конфиденциальных данных на своем устройстве — это означает удаление приложений онлайн-банкинга, не вводите вашу кредитную карту в веб-сайты и приложения и тому подобное. Конечно, ваши пароли и сообщения все равно будут выставлены. Вы действительно должны избегать посещения веб-сайтов и максимально использовать приложения, если ваше устройство является уязвимым.
На большинстве устройств Android нет уязвимой версии, и на большинстве устройств с уязвимыми версиями должны быть доступны обновления для решения этой проблемы. Если вы используете одно из немногих устройств, которые не были обновлены, вам следует прекратить хранение конфиденциальных данных на устройстве. Возможно, вы захотите связаться с вашим оператором или производителем устройства и узнать, скоро ли они выпустят обновление. Если ваше устройство не получает обновление, возможно, пришло время получить новое.
Конечно, вы всегда можете установить пользовательский ROM
как CyanogenMod
заменить версию Android, которая поставляется с вашим устройством. Это даст вам последнюю версию Android, которая не уязвима, но это немного больше работы.
Конечно, не может быть никаких известных случаев использования этой уязвимости, но лучше быть в безопасности, чем сожалеть. Было бы очень трудно определить, эксплуатировалось ли устройство Android.
Heartbleed используется для сбора конфиденциальной налоговой информации, паролей и других данных в сети, поэтому лучше избегать использования любого программного обеспечения, уязвимого для атак Heartbleed.
Изображение предоставлено: Инди Самараджива на Flickr
![2 веселые, захватывающие и бесплатные игры с пузырьками [Android]](https://helpexe.ru/wp-content/cache/thumb/7a/8da765139e89d7a_150x95.png)
![Получите доступ к своим файлам из любой точки мира с помощью Google Диска [Android]](https://helpexe.ru/wp-content/cache/thumb/c5/0205d90605702c5_150x95.png)